企业内部DNS跨国配置案例(2)

修改从服务器的主配置文件

vim /etc/named.conf options { listen-on port 53 { 10.0.0.56; }; allow-query { any; }; recursion yes; dnssec-enable no; dnssec-validation no; }; include "/etc/named.rfc1912.zones";

创建区域文件，因为从服务器只是同步主服务器的数据，所以不需要解析的数据库文件，只需要设定好谁是主服务器即可。

zone "jd.com" IN { //设定需要同步的区域，主从是相对于区域而言的所以要设定区域。 type slave; //设定服务器类型为slave从 masters { 10.0.0.57 ;}; //设定主服务器的IP地址 file "slaves/jd.com.zone"; //主服务配置文件都会在/var/named/slaves目录下，设定同步回来的数据库文件名 }; zone "bj.jd.com" IN { //含义与上面类似，这里设置同步自己管理的子域 type slave; masters { 10.0.0.57 ;}; file "slaves/bj.jd.com.zone"; }; 3.印度

后面印度分公司与上海分公司的配置除了设定一下需要转发的区域，其他的跟之前的主服务器配置都是大同小异。所以下面的仅仅对不通配置进行标注。

options { listen-on port 53 { 10.0.0.67; }; // listen-on-v6 port 53 { ::1; }; allow-query { any; }; recursion yes; dnssec-enable no; dnssec-validation no; }; include "/etc/named.rfc1912.zones";

设定转发区域。由于子公司仅仅管理自己的yd.jd.com域，那公司内部需要访问总公司的域名，就需要将其转发至上游的总公司。

zone "yd.jd.com" IN { type master; file "yd.jd.com.zone"; }; zone "jd.com" IN { //设定转发，客户端访问jd.com域时全部转发至指定的服务器 type forward; forward first; forwarders {10.0.0.57;}; //设定转发至10.0.0.57服务器。 };

创建印度分公司的区域解析文件

$TTL 1D @ IN SOA dns root.yd.jd.com. ( 1 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum NS dns dns A 10.0.0.67 oa A 10.40.0.13 ftp A 10.40.0.12 4.上海

修改主配置文件

options { listen-on port 53 { 10.0.0.66; }; listen-on-v6 port 53 { ::1; }; allow-query { any; }; recursion yes; dnssec-enable no; dnssec-validation no; }; include "/etc/named.rfc1912.zones";

创建区域记录，设定转发

zone "sh.jd.com" IN { type master; file "sh.jd.com.zone"; }; zone "jd.com" IN { //设定转发，客户端访问jd.com域时全部转发至指定的服务器 type forward; forward first; forwarders {10.0.0.57;}; //设定转发至10.0.0.57服务器。 };

创建上海分公司自己管理的区域解析文件。

$TTL 1D @ IN SOA dns root.sh.jd.com. ( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum NS dns dns A 10.0.0.66 ftp A 10.30.0.12 oa A 10.30.0.1 四、结果测试

将windwos的DNS设置为10.0.0.66，然后尝试解析10.0.0.67管理的域。成功得到解析结果。

五、测试工具 dig [-t type] name [@SERVER] [query options] dig只用于测试dns系统，不会查询hosts文件进行解析 #常用组合 dig www.taobao.com @10.0.0.10 #指定以10.0.0.10为DNS进行解析 dig +trace taobao.com #跟踪解析的过程 六、注意事项

权限：BIND安装时会创建一个用户，BIND运行也是用此用户的身份运行的。所以在解析的时候要确保创建的namde用户拥有对数据可的读权限。

端口：在bind的主配置文件named.conf确保监听的端口已经设置、确保可以对所有人提供DNS服务。

主从更新机制：当Master的版本号变大时，Slave才会同步Master上的数据。

SELinux：SELinux安全的可能让自己也无法访问服务，索性直接关闭

Iptables：当任何配置都没有错误的时候注意防火墙是否配置正确

创建委派：创建委派一定要将主主配置文件dnssec-enable与dnssec-validation设置为no

七、安全相关

在全局配置文件中/etc/named.conf可以配置与安全相关的选项

allow-query {}： 允许查询的主机；白名单

allow-transfer {}：允许区域传送的主机；白名单

allow-recursion {}: 允许递归的主机,建议全局使用

allow-update {}: 允许更新区域数据库中的内容